Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Mój klucz GPG miał wygasnąć 09.10.2015 roku, więc postanowiłem przedłużyć jego ważność. Żeby uniknąć takiej sytuacji, ustawiłem by był bezterminowy.
W teorii wszystko wygląda OK:
[lucjan@archlinux ~]$ gpg -k /home/lucjan/.gnupg/pubring.gpg ------------------------------- pub rsa4096/78695CFD 2014-10-09 uid [ absolutne ] Piotr Górski <lucjan.lucjanov@gmail.com> sub rsa4096/DCC9F3E4 2014-10-09 sub rsa4096/8319CF1F 2015-10-09
Wysłałem klucz na serwer (ponownie), by zaktualizować dane i niestety, widoczne są nieaktualne dane:
(2) Piotr Górski <lucjan.lucjanov@gmail.com> 4096 bit RSA key 78695CFD, utworzono: 2014-10-09, wygasa: 2015-10-09 (wygasł)
Ktoś wie, o co tutaj chodzi? Dodam, że zrobiłem to 08.10.2015, gdy był jeszcze aktywny.
Ostatnio edytowany przez sir_lucjan (2015-10-10 18:51:25)
Offline
Może po prostu wygeneruj nowy klucz RSA albo DSA i załaduj go na serwer.
Offline
Mój klucz GPG miał wygasnąć 09.10.2015 roku, więc postanowiłem przedłużyć jego ważność. Żeby uniknąć takiej sytuacji, ustawiłem by był bezterminowy.[/quote]
Klucze można przedłużyć nawet jak stracą ważność. To jest zabezpieczenie na wypadek gdyby klucz trafił w niepowołane ręce — wtedy po terminie nie da rady go używać. Dlatego też bez sensu jest ustawiać bez terminu. xDWysłałem klucz na serwer (ponownie), by zaktualizować dane i niestety, widoczne są nieaktualne dane:[/quote]
To zajmuje chwilę. Ja np. korzystam z puli serwerów gpg, i tam aktualizacja trwa z 10-15min.
Poza tym, na pewno wysłałeś? xDOstatnio edytowany przez morfik (2015-10-10 18:55:02)
Offline
[quote=Jacekalex]Może po prostu wygeneruj nowy klucz RSA albo DSA i załaduj go na serwer.[/quote]
Gdybym chciał to zrobić, nie zadawałbym tutaj pytania.
Ja wysłałem na następujące serwery:
keyserver hkp://keys.gnupg.net keyserver hkp://pgp.mit.edu
Niestety, od czwartku nic się nie zaktualizowało.
[lucjan@archlinux ~]$ gpg --send-keys --keyserver keys.gnupg.net 78695CFD gpg: wysyłanie klucza 78695CFD na serwer hkp keys.gnupg.net [lucjan@archlinux ~]$ gpg --send-keys --keyserver hkp://pgp.mit.edu 78695CFD gpg: wysyłanie klucza 78695CFD na serwer hkp pgp.mit.edu
Na 100% wysłałem :P
Ostatnio edytowany przez sir_lucjan (2015-10-10 18:58:46)
Offline
W puli serwerów hkps.pool.sks-keyservers.net również figuruje jako wygasły. Coś robisz nie tak. xD
Btw, te serwery miedzy sobą same wymieniają klucze, także nie musisz ich słać do różnych serwerów.
Ostatnio edytowany przez morfik (2015-10-10 19:08:59)
Offline
Jedyne, co robię, to gpg --send-keys :) Innej komendy nie ma, jak widać błędów nie wywala. Podczas "gpg --edit" pokazuje, że klucz nie wygasa nigdy.
Pytanie, co jest nie tak, jeśli jest :) Nie bardzo wiem, gdzie tutaj można popełnić błąd.
Ostatnio edytowany przez sir_lucjan (2015-10-10 19:18:06)
Offline
Zrobiłem prosty test:
$ gpg --search-keys 0xCD046810771B6520 gpg: searching for "0xCD046810771B6520" from hkps server hkps.pool.sks-keyservers.net 4096 bit RSA key 0xCD046810771B6520, created: 2013-11-13, expires: 2017-06-12 Keys 1-1 of 1 for "0xCD046810771B6520". Enter number(s), N)ext, or Q)uit > q
Jak widać wygasa 2017-06-12 . Zmieniłem by wygasł za rok:
$ gpg --edit-key 0xCD046810771B6520 gpg> expire Key is valid for? (0) 1y Key expires at 2016-10-09T19:10:44 CEST Is this correct? (y/N) y gpg> save
Ślę go do puli serwerów:
$ gpg --send-key 0xCD046810771B6520 gpg: sending key 0xCD046810771B6520 to hkps server hkps.pool.sks-keyservers.net
I sprawdzam czy się uaktualnił:
$ gpg --search-keys 0xCD046810771B6520 gpg: searching for "0xCD046810771B6520" from hkps server hkps.pool.sks-keyservers.net 4096 bit RSA key 0xCD046810771B6520, created: 2013-11-13, expires: 2017-06-12 Keys 1-1 of 1 for "0xCD046810771B6520". Enter number(s), N)ext, or Q)uit > q
Jak widać, ciągle jest stara data.
Próbuje znowu, znowu, znowu, aż:
$ gpg --search-keys 0xCD046810771B6520 gpg: searching for "0xCD046810771B6520" from hkps server hkps.pool.sks-keyservers.net 4096 bit RSA key 0xCD046810771B6520, created: 2013-11-13, expires: 2016-10-09 Keys 1-1 of 1 for "0xCD046810771B6520". Enter number(s), N)ext, or Q)uit >
Także sam widzisz. Zmień serwery. xD
A tu znowu:
$ gpg --search-keys 0xCD046810771B6520 gpg: searching for "0xCD046810771B6520" from hkps server hkps.pool.sks-keyservers.net 4096 bit RSA key 0xCD046810771B6520, created: 2013-11-13, expires: 2017-06-12 Keys 1-1 of 1 for "0xCD046810771B6520". Enter number(s), N)ext, or Q)uit >
Jeszcze cała pula nie zaktualizowała mojego klucza ale to na dniach czy godzinach zrobi i będzie już tylko ta nowa kopia mojego publika. xD
Ostatnio edytowany przez morfik (2015-10-10 19:22:10)
Offline
Wysłałem klucz na ten serwer, w gpg.conf ustawiłem:
keyserver hkp://hkps.pool.sks-keyservers.net #keyserver hkp://keys.gnupg.net #keyserver http://http-keys.gnupg.net
Co ciekawe, podczas szukania:
lucjan@archlinux ~]$ gpg --search-keys 78695CFD gpg: data source: http://sks.spodhuis.org:11371 (1) 511 bit RSA key 78695CFD, utworzono: 1994-04-22 (2) Piotr Górski <lucjan.lucjanov@gmail.com> 4096 bit RSA key 78695CFD, utworzono: 2014-10-09, wygasa: 2015-10-09 (wygasł) (3) Marsha Barker <mabarker@intercorp.com> 1024 bit DSA key 298D537E, utworzono: 1999-11-18
Szuka w innym miejscu. Configu gpg w żaden sposób nie zmieniałem.
Wysyła za to na prawidłowy:
[lucjan@archlinux ~]$ gpg --send-key 78695CFD gpg: wysyłanie klucza 78695CFD na serwer hkp hkps.pool.sks-keyservers.net
Ostatnio edytowany przez sir_lucjan (2015-10-10 19:38:07)
Offline
Masz słabą konfigurację dla tego gpg. xD Powinieneś zadbać o szyfrowane połączenia przy odpytywaniu serwera:
keyserver hkps://hkps.pool.sks-keyservers.net
Poza tym, to jest pula serwerów, a nie jeden serwer. Jak się łączysz to cię odsyła do losowego i z niego pobiera klucze. One są synchronizowane i ich zadaniem jest zapewnienie, że klucz i jego aktualizacje zawsze dotrą do odbiorców. Jeśli by ci padł ten twój serwer albo ktoś go podmienił, wtedy leżysz. Tutaj zwyczajnie wylatuje z puli i życie toczy się dalej. Poza tym, tam na ich stronie jest dokładnie opisana konfiguracja tego jak się do tej puli serwerów podłączyć. Przeczytaj sobie.
A jak już wspomniałem o słabym configu gpg, to pewnie klucz też kuleje. xD
Pokaż co ci zwraca :
$ hkt export-pubkeys 0xCD046810771B6520 | hokey lint
To po 0x to id klucza. Jak coś trza doinstalować hopenpgp-tools
Offline
Tego pakietu w Archu nie ma, muszę przy okazji go skompilować.
Pokażesz swój gpg.conf?
Offline
A takie coś kiedyś zrobiłem sobie, xD
# # ~/.gnupg/gpg.conf # # This is an implementation of the Riseup OpenPGP Best Practices # https://help.riseup.net/en/security/message-security/openpgp/best-practices # #----------------------------- # default key #----------------------------- # The default key to sign with. If this option is not used, the default key is # the first key found in the secret keyring default-key 0xE493CF5A6E42ED314350CAA9CD046810771B6520 #----------------------------- # behavior #----------------------------- # Disable inclusion of the version string in ASCII armored output no-emit-version # Disable comment string in clear text signatures and ASCII armored messages no-comments # Display long key IDs keyid-format 0xlong # List all keys (or the specified ones) along with their fingerprints with-fingerprint # Display the calculated validity of user IDs during key listings list-options show-uid-validity verify-options show-uid-validity # Try to use the GnuPG-Agent. With this option, GnuPG first tries to connect to # the agent before it asks for a passphrase. use-agent #----------------------------- # keyserver #----------------------------- # This is the server that --recv-keys, --send-keys, and --search-keys will # communicate with to receive keys from, send keys to, and search for keys on keyserver hkps://hkps.pool.sks-keyservers.net # Provide a certificate store to override the system default # Get this from https://sks-keyservers.net/sks-keyservers.netCA.pem keyserver-options ca-cert-file=/home/morfik/.gnupg_ca/sks-keyservers.netCA.pem # Set the proxy to use for HTTP and HKP keyservers - default to the standard # local Tor socks proxy # It is encouraged to use Tor for improved anonymity. Preferrably use either a # dedicated SOCKSPort for GnuPG and/or enable IsolateDestPort and # IsolateDestAddr #keyserver-options http-proxy=socks5-hostname://127.0.0.1:9050 # Don't leak DNS, see https://trac.torproject.org/projects/tor/ticket/2846 keyserver-options no-try-dns-srv # When using --refresh-keys, if the key in question has a preferred keyserver # URL, then disable use of that preferred keyserver to refresh the key from keyserver-options no-honor-keyserver-url # When searching for a key with --search-keys, include keys that are marked on # the keyserver as revoked keyserver-options include-revoked #----------------------------- # algorithm and ciphers #----------------------------- # list of personal digest preferences. When multiple digests are supported by # all recipients, choose the strongest one personal-cipher-preferences AES256 AES192 AES CAST5 # list of personal digest preferences. When multiple ciphers are supported by # all recipients, choose the strongest one personal-digest-preferences SHA512 SHA384 SHA256 SHA224 # message digest algorithm used when signing a key cert-digest-algo SHA512 # This preference list is used for new keys and becomes the default for # "setpref" in the edit menu default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
Offline
Zrobiłem sobie coś takiego na wzór Twojego:
# # ~/.gnupg/gpg.conf # # This is an implementation of the Riseup OpenPGP Best Practices # https://help.riseup.net/en/security/message-security/openpgp/best-practices # #----------------------------- # default key #----------------------------- # The default key to sign with. If this option is not used, the default key is # the first key found in the secret keyring default-key 0x83B7A7D178695CFD #----------------------------- # behavior #----------------------------- # Disable inclusion of the version string in ASCII armored output no-emit-version # Disable comment string in clear text signatures and ASCII armored messages no-comments # Display long key IDs keyid-format 0xlong # List all keys (or the specified ones) along with their fingerprints with-fingerprint # Display the calculated validity of user IDs during key listings list-options show-uid-validity verify-options show-uid-validity # Try to use the GnuPG-Agent. With this option, GnuPG first tries to connect to # the agent before it asks for a passphrase. use-agent #----------------------------- # keyserver #----------------------------- # This is the server that --recv-keys, --send-keys, and --search-keys will # communicate with to receive keys from, send keys to, and search for keys on keyserver hkps://hkps.pool.sks-keyservers.net # Provide a certificate store to override the system default # Get this from https://sks-keyservers.net/sks-keyservers.netCA.pem keyserver-options hkp-cacert=/home/lucjan/.gnupg/sks-keyservers.netCA.pem # Set the proxy to use for HTTP and HKP keyservers - default to the standard # local Tor socks proxy # It is encouraged to use Tor for improved anonymity. Preferrably use either a # dedicated SOCKSPort for GnuPG and/or enable IsolateDestPort and # IsolateDestAddr #keyserver-options http-proxy=socks5-hostname://127.0.0.1:9050 # Don't leak DNS, see https://trac.torproject.org/projects/tor/ticket/2846 # keyserver-options no-try-dns-srv # When using --refresh-keys, if the key in question has a preferred keyserver # URL, then disable use of that preferred keyserver to refresh the key from keyserver-options no-honor-keyserver-url # When searching for a key with --search-keys, include keys that are marked on # the keyserver as revoked keyserver-options include-revoked #----------------------------- # algorithm and ciphers #----------------------------- # list of personal digest preferences. When multiple digests are supported by # all recipients, choose the strongest one personal-cipher-preferences AES256 AES192 AES CAST5 # list of personal digest preferences. When multiple ciphers are supported by # all recipients, choose the strongest one personal-digest-preferences SHA512 SHA384 SHA256 SHA224 # message digest algorithm used when signing a key cert-digest-algo SHA512 # This preference list is used for new keys and becomes the default for # "setpref" in the edit menu default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
Plik cat /home/lucjan/.gnupg/sks-keyservers.netCA.pem stworzyłem.
Teraz otrzymuję coś takiego:
[lucjan@archlinux ~]$ gpg --search 0x83B7A7D178695CFD gpg: keyserver option 'hkp-cacert' is unknown gpg: error searching keyserver: Błąd ogólny
Wcześniej otrzymywałem taki błąd:
[lucjan@archlinux ~]$ gpg --search 0x83B7A7D178695CFD gpg: keyserver option 'ca-cert-file' is obsolete; please use 'hkp-cacert' in dirmngr.conf gpg: error searching keyserver: Błąd ogólny
Utworzyłem jeszcze:
[lucjan@archlinux ~]$ cat .gnupg/dirmngr.conf hkp-cacert /home/lucjan/.gnupg/sks-keyservers.netCA.pem
Jednakże bez skutku.
Ostatnio edytowany przez sir_lucjan (2015-10-10 21:36:26)
Offline
2.1.8
Offline
Ta 2.1 jest jakaś pobugowana. Weź sobie zainstaluj coś koło 2.0.28-3 -- taka jest w debianie. Tzn jest i ta 2.1 w sidzie ale tego się nie da używać. xD
Ostatnio edytowany przez morfik (2015-10-10 21:53:19)
Offline
Dzięki za poświęcony czas.
Offline
Rozwiązanie dla gnupg 2.1.9
gpg.conf
# keyserver keyserver hkps://hkps.pool.sks-keyservers.net # keyserver-options ca-cert-file=.../sks-keyservers.netCA.pem # keyserver-options no-try-dns-srv keyserver-options include-revoked
sudo cp sks-keyservers.netCA.pem /usr/local/share/ca-certificates/sks-keyservers.netCA.crt
sudo update-ca-certificates
Teraz łączy się z serwerem przez :443.
Pozdrawiam
Ostatnio edytowany przez utrol (2015-10-12 01:55:45)
Offline
Ja właśnie zaktualizowałem sobie gnupg do 2.1.9 i u mnie zdaje się działać na moim configu tak jak przedtem. Nie ma żadnych błędów o przestarzałych opcjach, działa z serwerami na porcie 443:
$ netstat -tupan | grep 443 tcp 0 296 192.168.1.150:60616 206.176.170.195:443 ESTABLISHED 9404/gpgkeys_hkp
Także, czego chcieć więcej? xD
Przeglądam ten dołączony do pakietu plik konfiguracyjny gpg.conf i tam jest ciekawa opcja do debugowania keyservera:
keyserver-options debug
Jak coś nie gra, to zawsze można sprawdzić co wypluje log po jej dodaniu.
Ostatnio edytowany przez morfik (2015-10-14 11:59:28)
Offline
Time (s) | Query |
---|---|
0.00019 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00147 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.142.98.60' WHERE u.id=1 |
0.00083 | UPDATE punbb_online SET logged=1732220599 WHERE ident='3.142.98.60' |
0.00049 | SELECT * FROM punbb_online WHERE logged<1732220299 |
0.00081 | DELETE FROM punbb_online WHERE ident='18.226.93.138' |
0.00062 | DELETE FROM punbb_online WHERE ident='3.145.50.71' |
0.00067 | DELETE FROM punbb_online WHERE ident='3.147.68.201' |
0.00076 | SELECT topic_id FROM punbb_posts WHERE id=291535 |
0.00111 | SELECT id FROM punbb_posts WHERE topic_id=27792 ORDER BY posted |
0.00080 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27792 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00101 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27792 ORDER BY p.id LIMIT 0,25 |
0.00079 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27792 |
Total query time: 0.00966 s |